Little Snitch dla Linuksa: monitorowanie aktywności sieciowej aplikacji za pomocą eBPF
Deweloper Christian Starkjohann wydał wersję dla Linuksa Little Snitch — narzędzia do szczegółowej kontroli aktywności sieciowej aplikacji. Rozwiązanie wykorzystuje eBPF do inspekcji ruchu na poziomie jądra, oferując interfejs webowy do zarządzania. Obsługiwane są jądra Linuksa 6.12 i nowsze. Demon działający w tle został napisany w Rust pod proprietarną licencją z pozwoleniem na bezpłatną dystrybucję.
Architektura i komponenty
Podstawę stanowi program BPF, ładowany do jądra w celu przechwytywania pakietów sieciowych. Analizuje on połączenia aplikacji w czasie rzeczywistym. Demon littlesnitch-daemon przetwarza zdarzenia i zarządza regułami.
- Komponenty otwarte (GPLv2): programy eBPF, biblioteka funkcji, interfejs webowy — dostępne na GitHub.
- Proprietarny demon: littlesnitch-daemon — darmowy do użytku i dystrybucji.
Interfejs webowy uruchamia się pod adresem http://localhost:3031/ i obsługuje tryb PWA do pracy jako samodzielna aplikacja.
Funkcjonalność monitorowania i blokowania
Narzędzie wizualizuje bieżące połączenia: hosty, objętość ruchu, historię aktywności. Blokowanie realizowane jest według adresów IP, podsieci i domen.
Możliwości:
- Tworzenie białych list dla zaufanych aplikacji.
- Import i automatyczne aktualizacje zewnętrznych list blokad (oisd.nl i podobne) dla reklam, trackerów, telemetrii, phishingu.
- Blokowanie niechcianych połączeń jednym kliknięciem.
Pozwala to deweloperom średniego i starszego poziomu konfigurować ścisłą kontrolę w środowiskach roboczych bez kompromisów w wydajności.
Porównanie z OpenSnitch
OpenSnitch — otwarty odpowiednik z interaktywnymi dialogami dla nowych połączeń. Jednakże, według słów Starkjohanna, nie obejmuje wszystkich scenariuszy:
| Funkcja | Little Snitch dla Linuksa | OpenSnitch |
|---------|---------------------------|------------|
| Obsługa eBPF | Tak | Częściowa |
| Blokowanie jednym kliknięciem | Tak | Nie |
| Interfejs webowy z PWA | Tak | Nie |
| Automatyczne aktualizacje list blokad | Tak | Ograniczone |
Little Snitch nastawiony jest na wygodne monitorowanie procesów bez ciągłych popupów.
Instalacja i wymagania
Projekt wymaga jądra 6.12 lub nowszego. Instalacja obejmuje załadowanie modułu BPF i uruchomienie demona. Interfejs webowy jest dostępny zaraz po uruchomieniu. W środowiskach produkcyjnych zalecana jest konfiguracja białych list kluczowych usług.
Co ważne
- eBPF zapewnia niskokosztowe monitorowanie bez narzutu w przestrzeni użytkownika.
- Obsługa zewnętrznych list blokad automatyzuje ochronę przed trackerami i zagrożeniami.
- Interfejs webowy z PWA ułatwia wdrożenie na serwerach headless.
- Otwarte komponenty pod GPLv2 pozwalają na dostosowanie.
- Alternatywa dla OpenSnitch w zadaniach z naciskiem na blokowanie jednym kliknięciem.
— Editorial Team
Brak komentarzy.